У меня есть 3 раздела: EFI (/boot/efi
), загрузочный (/boot
) и корневой (/
). Я хочу зашифровать просто /
. Я могу сделать это вручную с помощью установщика, но я хочу сделать это.
Как мне это определить? Мой (незашифрованный) рецепт выглядит примерно так: Это что-то вроде путаницы предложений по системным разделам EFI, которые я нашел (не нашел четкого руководства).
boot-root ::
100 100 100 fat32
$primary
$iflabel{ gpt }
$reusemethod( }
use_filesystem{ } filesystem{ vfat }
method{ efi } format{ }
mountpoint{ /boot/efi }
.
300 300 300 ext4
use_filesystem{ } filesystem{ ext4 }
method{ format } format{ }
mountpoint{ /boot }
.
100% 3000 100% ext4
use_filesystem{ } filesystem{ ext4 }
method{ format } format{ }
mountpoint{ / }
.
Как сделать sda3
физическим разделом для LUKS-шифрования, а затем иметь файловую систему поверх этого?
ОБНОВЛЕНИЕ:
Я обнаружил, что могу установите раздел для шифрования, как показано ниже, но есть еще 3 проблемы:
dm-crypt
, необходимый для создания и активации зашифрованных томов. Все еще борется изо всех сил
boot-root ::
100 100 100 fat32
$primary
$iflabel{ gpt }
$reusemethod( }
use_filesystem{ } filesystem{ vfat }
method{ efi } format{ }
mountpoint{ /boot/efi }
.
300 300 300 ext4
use_filesystem{ } filesystem{ ext4 }
method{ format } format{ }
mountpoint{ /boot }
.
100% 3000 100% ext4
method{ crypto } format{ }
.
Сначала, откройте корневой терминал:
sudo -i
Затем заполните раздел, который должен быть зашифрован со случайными данными с помощью команды как это:
openssl enc -aes-256-ctr -pass pass:"$(dd if=/dev/urandom bs=128 count=1 2>/dev/null | base64)" -nosalt < /dev/zero > /dev/sdxy
Необходимо заменить sdxy
с разделом, который будет зашифрован. Затем введите
cryptsetup luksFormat --cipher twofish-xts-plain64 --key-size 512 --hash sha512 --iter-time 2000 /dev/sdxy
зашифровать раздел sdxy
. Откройте объем и назовите его root
:
cryptsetup luksOpen /dev/sdxy root
Используйте эту команду для создания ext4 файловой системы в нем:
mkfs.ext4 /dev/mapper/root
Затем можно запустить установщик. Выбрал "Something else", будучи спрошенным, что требуется сделать. Затем выбрал точки монтирования для всех Ваш не - зашифрованные разделы. Для Вашего root
раздел, выбрать /dev/mapper/root
, нажмите "Change". Затем выберите ext4
для типа файловой системы и набора точка монтирования к /
. Затем нажмите "Install now" и устанавливайте Ubuntu обычно.
Когда закончено установка нажимает "Continue testing". Откройте терминал и тип:
sudo -i
cd /mnt
mkdir root
mount /dev/mapper/root root
mount /dev/sdyz root/boot
sdyz
должен быть заменен Вашим boot
раздел. Затем, тип:
chroot root
mount -t proc proc /proc
mount -t sysfs sys /sys
nano /etc/crypttab
Откройте второй терминал и тип sudo blkid
. Найдите UUID для root
(тот, который говорит crypto_luks
в конце) и вставка это в /etc/crypttab
. Затем файл /etc/crypttab
должен выглядеть примерно так:
root UUID=d68911dd-172a-4608-86d4-084eb72f409c none luks
Закройте файл с Ctrl+x, y и Войдите. Ввести nano /etc/fstab
в терминале и проверке, если все выглядит правильным (например, UUID).
Наконец, выйдите из chroot среды и типа:
cryptsetup luksHeaderBackup /dev/sdxy --header-backup-file /root/root.img
Это помещает изображение заголовка зашифрованного раздела в папку /root
и имена это root.img
. Затем переместите изображение во внешний диск (в случае упущения пароля). Теперь можно перезагрузить в недавно установленную Ubuntu.
Источник: http://thesimplecomputer.info/full-disk-encryption-with-ubuntu
| tail -1
для вырезания только последнего результата, если существует больше чем один. – pa4080 11 October 2017 в 07:54